欧美政府反恐扩权应三思
2015-09-10洪延青
洪延青
《查理周刊》编辑部阵阵枪声之后,巴黎举行了火热的大游行,欧洲的政治家们接二连三发表慷慨激昂的演讲,但不少互联网公司却感到阵阵寒意不断袭来。
2015年1月11日刚参加完巴黎反恐大游行,英国首相卡梅伦就在第二天召集政府安全部门负责人开会,讨论英国的防恐对策。在会上,卡梅伦表示,“在巴黎发生的惨案再一次显示出加强情报和安全部门的监控力度以保护民众安全的必要性……如果能连任首相,我将确保不给恐怖分子们借互联网进行联系和暗中谋划的空间。”
如何做到这一点?卡梅伦抛出了自己的计划:如果连任他将推动立法,强令执法和情报部门无法进行内容监控的社交应用,要么停止对用户数据的加密,要么交出加密密钥或植入后门,否则将被宣布为违法。
许多媒体推测,卡梅伦这番话直指Whatsapp、Snapchat、苹果的iMessage和Facetime、谷歌的安卓系统等使用自主研发加密协议的应用程序和服务。
紧跟着卡梅伦,法国总理曼纽尔·瓦尔斯,德国总理默克尔均表示将通过制定新法律,以应对恐怖主义威胁。
争取更大的监控权力只是计划的一部分,欧洲国家政府还想要互联网服务提供商(ISP)承担起更多的责任。在2015年1月11日巴黎大游行当天,11个欧盟成员国部长与欧盟、美国政府代表共同发表声明,其中就强调:互联网日益被用于浇筑仇恨和暴力,主要的互联网服务提供商应与政府建立“伙伴关系”,保证宣扬仇恨和恐怖的内容及时被举报和移除。
总结起来,政府现如今期待互联网服务提供商做到两件事:一是放弃加密,或给密钥、允许植入后门,让政府能自由地进入到个人通信管道中;二是变被动为主动,从过去对违法信息采取被动的“通知、删除”(Notice?and?Takedown),转到主动监控并报告在其平台或应用上所传播的违法内容。
要说网络社会建立在加密技术之上,一点也不夸张。一个与我们息息相关的例子是,没有对账号、订单等信息的加密,电子银行、电子商务等根本没法发展。因此,许多公司经常标榜自主研发的加密技术能最大程度保障用户安全。
在互联网公司看来,政府要求的这两件事做起来是“何其难也”。不加密不可能。但一旦交密钥或开后门,相当于人为地在产品中设计一个薄弱环节,在坚固的城墙中故意凿开个洞。没错,好人是能进来,但是坏人也一定能发现这个漏洞,时间早晚而已。
再加上斯诺登事件后,在民众心中英美政府的形象都不怎么样,谁能保证这些权力不被滥用?真的顺从了政府的要求,企业和产品在用户(特别是他国政府和普通用户)面前,还有何信任可言?至于主动监控海量传播内容,先不说技术上可不可行,单单算算理论上要投入多少人力和物力,就能让任何一个公司歇菜。
也许这些要求只是一阵风?西方政治家在惨案发生之后做出强硬表态,这是常态,可以理解。一些互联网公司也在观望,是不是咬咬牙,挨过这个冬天就好了?但简单回顾一下过去两三个月中大西洋两岸政府的头头脑脑都说了些什么,就能知道这次恐怕没这么简单。
2014年9月底,美国司法部长埃里克·霍尔德在一次研讨会中说,“科技进步有可能极大地鼓励网络犯罪,并提供避免被查获的新方法”;他希望得到企业的合作,特别是在加密协议中植入后门。
2014年10月16日,美国联邦调查局局长詹姆斯·科米发表演讲,强调“无论是实时通讯还是存储下来的数据,都在加大加密技术的使用程度”,除非政府可以获得后门,否则将“阻碍政府伸张正义”。
同一天,纽约市警察局局长比尔·布拉顿表示,谷歌和苹果公司开发加密技术,“确确实实阻碍犯罪调查”,“最终将伤害公众利益”。
2014年11月3日,英国安全情报机构“政府通讯总部”负责人罗伯特·汉尼根在英国《金融时报》刊文控诉美国互联网公司:“无论它们多么不愿意承认,它们都已成为恐怖分子和犯罪分子首选的指挥和控制网络。”
几天后,伦敦警察总长伯纳德·霍甘·豪爵士公开表示,电脑和移动电话上的加密技术阻挠了警察的调查,使得互联网的许多角落变成“无法无天的地方”。
2015年新年伊始,美国纽约曼哈顿地区检察官塞勒斯·万斯在接受采访时表示,美国联邦和州政府应该考虑立法,禁止智能手机、平板电脑以及其他设备“将执法部门排除在外”。
在《查理周刊》遇袭事件的第二天,英国情报机构军情五处(MI5)负责人安德鲁·帕克就公开呼吁赋予执法和情报单位更多的权力。
1月21日,路透社报道歐盟反恐协调员在一份内部文件中建议,在反恐新战略时,欧盟应该考虑强制互联网公司协助安全机关破解加密的邮件和通话。
面对日益猖獗的恐怖主义破坏,许多美欧政府人士似乎已经形成了某种共识:以往对抗恐怖主义的模式不太管用;执法、安全和情报机构、私人部门、老百姓都需要在“新常态”下重新找到自己的位置,该扩权的扩权,该配合的配合,该适应的适应;不要发什么牢骚,一切都是为了反恐,为了安全。
也许反恐的“新常态”真的已经到来,但即便如此,“三思而后行”总是没错。
一思扩权的必要性。扩权是为了收集信息,是不是信息收集得越多就越好?用西方人喜欢的说法,揪出恐怖主义分子就好比找到藏在干草堆里的一根针,但恐怕“往草堆上堆再多的草”无助于问题的解决。媒体也经常曝出,恐怖分子在施暴之前,执法和情报机关其实已经盯上他们了,或因为不能连点成面,或不能持之以恒,导致最终未能阻止他们。可见,“更好的情报比更多的信息来得重要”。
二思扩权的精确性。在2014年苹果、谷歌等公司将加密作为默认设置之前,早就存在着一系列能够对通信进行加密的软件和应用供恐怖分子利用。所以说,警方现在面对的根本不是一个全新的局面。而且事实上,仅在极少数情况下加密对调查产生不利影响。
例如,媒体报道美国法院系统发布的《2013年窃听报告》(注:2014年的报告还未发布)指出,联邦和州警察2013年开展了至少3500次窃听行动,只有9次因为对象采用加密措施无功而返,在2012年这个数字为4次,2012年之前为0。因此有人说,卡梅伦的想法治标不治本,问题的根源在于执法机构缺乏资金和人员培训。
三思扩权的成本收益平衡,即在扩权前,有必要算算账,收益和成本是否符合比例?在许多人士看来,执法机构多数情况下并不一定要看到通信的内容,获得登录时间、地点等元数据再加上仔细分析,效果往往更好。
而如果卡梅伦的想法真的付诸实际,英国互联网公司的竞争力大打折扣,英国人也可以和数字化进程“说再见”。一旦其他国家效仿,都想要有后门,跨国互联网企业疲于应付,产品漏洞百出,对全球互联网将会造成毁灭性的打击。
近日,德国司法部长海科·马斯说,“我们应该采取所有的措施保证我们国家的安全,但是绝对的安全从来都不曾存在过。无缘无故让我们所有人生活在完全的监控中改变不了任何事情。”他的这一番话值得我们冷静思考。
(作者系法学博士,文章仅代表个人观点,与工作单位无关)